האם צריך תקן PCI לסליקת אשראי כשהנתונים נשלחים ב API
-
האם צריך תקן PCI לסליקת אשראי כשהנתונים נשלחים ב API
כאשר לחברה יש את כל מה שצריך
לאתר יש ssl
ונשלח https -
@clickone אמר בהאם צריך תקן PCI לסליקת אשראי כשהנתונים נשלחים ב API:
אייפריים
@clickone סליחה על השאלה אבל מה זה "אייפריים"
עיקר השאלה שלי היתה לפני שלב הטוקן,
הרי גם לקבל את הטוקן אני צריך לשלוח קודם את מספר הכרטיס ?@יוס דרך איזה חברת סליקה אתה עובד?
הרעיון הוא שאתה שולח מהשרת שלך בקשת API ומקבל לינק ייחודי, שאותו אתה יכול לפתוח כאייפריים בתוך האתר שלך,
בעצם ככה אתה פותח דף בתוך הדף שלך, בתוך הדף הזה, של הסולק, משתמש הקצה מקליד את המספר אשראי שלו, וזה באחריות הסולק ולא באחריותך
אח"כ אתה מקבל מאחורי הקלעים את הטוקן.
כמובן שאתה יכול גם לבצע עסקת חיוב וכו בתוך האייפריים -
@clickone אמר בהאם צריך תקן PCI לסליקת אשראי כשהנתונים נשלחים ב API:
אייפריים
@clickone סליחה על השאלה אבל מה זה "אייפריים"
עיקר השאלה שלי היתה לפני שלב הטוקן,
הרי גם לקבל את הטוקן אני צריך לשלוח קודם את מספר הכרטיס ? -
תודה על ההסבר המפורט,
אכן זה נכון לגבי חברות סליקה רגילות
אך במקרה הספציפי הזה מדובר בנדרים פלוס,
האם ידוע לך האם יש שם כזו אפשרות ? -
לא חושב שיש לנדרים IFrame מותאם,
בכל אופן כמובן שאתה צריך לעמוד בתקן PCI, אך כמו ש@dovid אמר זה לא חובה. אבל חברת האשראי עלולה לעשות לך בעיות ולסגור לך את המסוף.אני אישית גם משתמש לצרכים מסויימים ב API מול נדרים. אך ייתכן שכדאי לך לבדוק אפשרויות של חברות שמכוונות לקהל המפתחים, שנותנים סליקה ב IFRAME ובRedirect
-
@חוקר אמר בהאם צריך תקן PCI לסליקת אשראי כשהנתונים נשלחים ב API:
משהו
אני יסביר בקצרה מה אני צריך
אמנם אני בונה לזה גם מערכת טלפונית
אך מה שאני שואל זה לגבי אתר ניהול למנהלים ששם הם רוצים אפשרות להכניס תרומות באופן ידני
ועל זה נסובה שאלתי,
והלקוח רוצה לעבוד דוקא איתם (בגלל אפשרות ההתרמה בעמדות הזמינות לכולם)
(אכן הרבה יותר יעיל לעבוד עם חברות רגילות שמספקות הכל ב API) -
@יוס מה אכפת לך שהחלק הספציפי הזה יהיה עם אייפריים?
אתה יכול גם להשתמש עם טוקן, ואז אתה חופשי אח"כ להשתמש עם הכרטיס@clickone אמר בהאם צריך תקן PCI לסליקת אשראי כשהנתונים נשלחים ב API:
@יוס מה אכפת לך שהחלק הספציפי הזה יהיה עם אייפריים?
אם משתמשים באייפריים ומישהו פורץ לאתר המפנה, ומזריק JS לדף , הוא לא יכול לשלוף נתונים שמועברים לאייפריים?
(רק שואל, אין לי מושג, אני לא מבין כ"כ באבטחת מידע) -
@clickone אמר בהאם צריך תקן PCI לסליקת אשראי כשהנתונים נשלחים ב API:
@יוס מה אכפת לך שהחלק הספציפי הזה יהיה עם אייפריים?
אם משתמשים באייפריים ומישהו פורץ לאתר המפנה, ומזריק JS לדף , הוא לא יכול לשלוף נתונים שמועברים לאייפריים?
(רק שואל, אין לי מושג, אני לא מבין כ"כ באבטחת מידע) -
@clickone אמר בהאם צריך תקן PCI לסליקת אשראי כשהנתונים נשלחים ב API:
@יוס מה אכפת לך שהחלק הספציפי הזה יהיה עם אייפריים?
אם משתמשים באייפריים ומישהו פורץ לאתר המפנה, ומזריק JS לדף , הוא לא יכול לשלוף נתונים שמועברים לאייפריים?
(רק שואל, אין לי מושג, אני לא מבין כ"כ באבטחת מידע)@nigun לדפדפן יש מדיניות אבטחה קשוחה לגבי iframe.
הדף המארח לא יכול לשנות שום דבר באייפרם, לא להזריק סקריפטים או css וכדו'.
הדפדפן טוען רק את הקבצים שהאייפרם מפנה אליהם, ורק להם יש יכולת לשנות אותו, כך שאכן האחריות עוברת אל החברה הסולקת, כמו ש@clickone כתב, כיון שהיא היחידה שיכולה להחליט מה הדף יטען.אם תנסה לגשת לאייפרם מתוך הדף המארח ולשנות לו אפי' עיצוב של css תראה שאתה לא מצליח..